FBI afirmă că hackerii serviciilor secrete ruse au o nouă metodă de a păcăli utilizatorii Signal pentru a le citi mesajele, iar aceasta funcționează chiar și după ce îți schimbi telefonul

Adaugă-ne ca sursă preferată în Google

Urmărește-ne in Discover

FBI și CISA și-au actualizat avertismentul din martie privind atacurile de phishing ale serviciilor secrete ruse asupra conturilor Signal, iar operatorii au adăugat un pas suplimentar: acum îi conving pe cei vizați să le predea cheia de recuperare a copiilor de rezervă din Signal. Avizul actualizat precizează că predarea cheii o singură dată le oferă atacatorilor posibilitatea de a restaura copia de rezervă a unui cont, de a citi întregul istoric al mesajelor private și de grup și de a prelua controlul asupra contului, relatează TheHackerNews.

Cheia continuă să funcționeze chiar și după ce victima își schimbă telefonul. Dacă o țintă își creează un cont nou pe același număr de telefon, vechea cheie de recuperare poate fi încă utilizată pentru a accesa copiile de rezervă viitoare, avertizează avizul. Singura soluție este generarea unei chei noi din setările aplicației Signal, ceea ce invalidează cheia veche pentru descărcările viitoare, dar nu permite recuperarea informațiilor pe care atacatorul le-a extras deja.

Avizul adaugă două denumiri care nu erau incluse în anunțul FBI din martie: UNC5792 și UNC4221. Biroul leagă această activitate de mai multe grupuri ale serviciilor de informații rusești, inclusiv ofițeri ai FSB infiltrați în cadrul Gărzii de Frontieră a FSB și alții care lucrează pentru armata rusă. Campania vizează atât Signal, cât și WhatsApp, deși tactica cheii de recuperare este specifică aplicației Signal.

Țintele sunt persoane pe care FBI-ul le descrie ca având o „valoare ridicată din punct de vedere al informațiilor”, inclusiv actuali și foști oficiali guvernamentali americani și internaționali, personal militar, personalități politice, jurnaliști și oficiali din Ucraina. Avizul din martie menționa că această campanie mai amplă compromisese deja mii de conturi la nivel mondial.

Mesajele de phishing se prezintă ca fiind de la serviciul de asistență Signal. Valurile anterioare solicitau coduri de verificare prin SMS și coduri PIN ale conturilor sau foloseau linkuri falsificate de „invitație în grup” care conectau în mod ascuns dispozitivul atacatorului la contul victimei. Versiunea actualizată îndrumă țintele să activeze copiile de rezervă Signal, să deschidă ecranul cheii de recuperare, să copieze și să lipească cheia în chat.

FBI a publicat exemple de mesaje utilizate în cadrul campaniei. Unul este deghizat într-o implementare obligatorie a autentificării în doi factori, iar celălalt se prezintă ca o soluție urgentă de „recuperare a datelor” pentru mesaje care ar fi expuse riscului de a fi pierdute. Ambele sunt atacuri de inginerie socială care exploatează încrederea în propria interfață a platformei, mai degrabă decât vulnerabilitățile tehnice.

Agențiile precizează clar că niciuna dintre aceste tehnici nu compromite criptarea Signal sau aplicația în sine. Atacatorii compromit conturile individuale prin inginerie socială, apoi pătrund prin intermediul unei funcționalități legitime. Este un model care a devenit din ce în ce mai frecvent în rândul produselor de securitate, unde veriga cea mai slabă este persoana care deține dispozitivul, nu criptografia care protejează datele.

Campania reamintește că criptarea end-to-end protejează mesajele în tranzit, dar nu poate proteja utilizatorii care sunt convinși să predea ei înșiși cheile. Oricine primește un mesaj în cadrul aplicației Signal prin care i se solicită o cheie de recuperare, un cod de verificare sau un cod PIN ar trebui să îl trateze ca pe un mesaj ostil, indiferent cât de convingător pare expeditorul. Signal nu trimite mesaje utilizatorilor din cadrul aplicației pentru a le solicita datele de autentificare.